Ich weiss nicht in wie weit die Leser dieses Blogs sich mit der Geschichte von Hacker/Crackergemeinschaften im Internet auskennen.
cracking
In wie weit zensiere ich und wie weit soll ich noch gehen
Ich liebe meine Firewall. Wirklich ich mache das, sie ist immer weiter gewachsen, Gut dokumentiert und im Gegensatz zu anderen Produkten vertraue ich Ihr Voll und Ganz. Dies liegt nicht an den anderen Produkten, ich meine es gibt viele Firewalls, welche wirklich für mich, auch von der Evaluation her, eine super Sache sind, vor allem wenn man nur Grundkenntnisse besitzt und mehr möchte als ein ISP-Router bietet. Für mich ist dies leider nichts, da ich so eine Distribution, sei es ein *BSD/oder Linux, erst einmal ReverseEngineere um zu Wissen wie sie funktionieren und dann ist auch nicht das vorhanden, welches ich vielleicht möchte und durch massive Abänderung ist es dann nicht mehr das Original und somit kann ich es gleich selbst machen.
Also mypfw.deveth.hq filtert mir Werbung mit automatischen Shalla-List updates und natürlich Squid und SquidGuard, nutzt Snort-Regeln mit positives to iptables, cached deb-Files für 40 Tage, hostapd und und und. Das ganze hat ein RAID und begnügt sich mit netten 768MB RAM, wovon in maximalen Fall 500ebbes mal genutzt wurden. Auch werde ich per Mail über Angriffe, Hitzeprobleme, Updates, usw informiert. Alles erkläre ich nicht, der geneigte Leser weiß warum;)
Somit, mypfw ( War ein kleiner Witz für mich der $HOSTNAME bedeutet My personal firewall *g*) und ich haben einen mehr als tollen Kommunikationsfluss und ist auch nicht gerade wenig frequentiert bei einem 1 Familienhaus mit 5 surfenden Mitgliedern.
So, dies als vorhergehende Erklärung, kommen wir nun zu der Zensur durch/über die Firewall.
Es ist klar, dass ich zensiere. Sei es die Werbung, bestimmte Seiten mit nicht positiven Inhalten, oder auch das blocken von bestimmten Dateiendungen. Sprich Domains werden vorgefiltert, welches jedem schon durch die Werbung klar ist. Hier habe ich eine gewollte Zensur.
Die ungewollte Zensur ist, wenn ich einen vermeintlichen Angreifer blocke, bei mir befindet sich nur freenode auf der Whitelist, damit ich diese nette Mail nicht mehr bekomme:
——— SCHNIPP ———
Scanned TCP ports: [40-65506: 163 packets]
TCP flags: [SYN: 163 packets, Nmap: -sT or -sS]
iptables chain: INPUT (prefix "Firewall BlockFw — DENY"), 163 packets
Source: 85.190.0.3
DNS: proxyscan.freenode.net
MAC: 00:30:b8:ca:69:31
OS guess: Linux (2.4.x kernel)
Destination: XXXXXXXXXXXXXXXXXXXX
DNS: XXXXXXXXXXXXXXX
MAC: XXXXXXXXXXXXXXX
Overall scan start: Tue Apr 20 19:32:37 2010
Total email alerts: 1
Complete TCP range: [40-65506]
Syslog hostname: mpfw
Global stats: chain: interface: TCP: UDP: ICMP:
INPUT eth0 163 0 0
[+] TCP scan signatures:
"BACKDOOR GateCrasher Connection attempt"
dst port: 6969 (no server bound to local port)
flags: SYN
sid: 147
chain: INPUT
packets: 1
classtype: misc-activity
usw und sofort
——— SCHNIPP ———
Einer der vielen kleinen Dienste, welche dort laufen, psad mit fwsnort, aber wie gesagt, nicht der einzige.
Was mir klar ist, dass viele Angreifer aus bestimmten Ländern kommen und ich nun mit Hilfe von GeoIP und einem neukompilierten iptables diese Länder sperren könnte, ein reject ist da die nette Art und nicht ein drop btw.
Nun stelle ich mir die Frage, ist dies Fair?
Ich bin für ein freies Netz und gegen eine Zensur, wo ich natürlich schon für die Zensur von bestimmten Inhalten und Ihrer drakonischen Bestrafung der Täter bin, dies ist aber nicht das Thema gerade. Wenn ich mich nun hinsetze und genau diese Funktion mit in meine Firewall setze befinde ich mich meiner Meinung nach auf einer Ebene, auf welcher ich mich definitiv nicht befinden möchte/will. Ich watsche ein Land mit meiner Firewall ab, nur weil sich dort ein paar Idioten befinden. Auch stellt sich in dem Moment die Frage, ist die IP wirklich die Echte, oder haben wir hier einen netten Fall von Spoofing. Eine Idee, welche ich Gestern mit sqall besprach, ist die Kunst eines Gegenangriffes bzw die Rückleitung des Verkehrs zu dem Angreifer. Nur auch hier haben wir das Problem eines IP-Spoofing und ich mache mich in dem Moment strafbar, weil ich einen Host angreife, welcher nicht wirklich der Angreifer ist. Meine Antwort darauf ist im Grunde mal wieder ein HoneyNet, nur verursacht ein kleines Honigtöpfchen mir die Kosten (Strom/HW/Audit/etc.) und dies Alles nur damit ein Scriptkiddie spielen kann?
Stellt sich langsam die Frage und dies nicht nur mir, wie sollen wir auf Länder reagieren, welche in diesem Zuge sich nicht wirklich bemühen, dass dies nicht geschieht? Mir kann keiner mit einer Aussage kommen, dass diese Länder es nicht nicht mitbekommen. Ich nehme als Beispiel China, weil jeder Person dort die Zensur durch die Medien wirklich klar ist. China zensiert, China schaut sich den Netzwerkverkehr wirklich sehr stark an und ich muss schon zuegeben, dass ich auf die Hardware neidisch bin;) Nun, wenn China wirklich den ganzen Netzwerkverkehr in Realzeit observiert und ich gehe nun nicht auf die Netzwerkschichten ein, wie kann es sein, dass aus diesem Land so viel Spam und Angriffe kommen. Vor allem Angriffe auf die IP-Ranges welche von einem ISP für das Kundensubnetting(simpel ausgedrückt) benutzt wird. Auch das werkeln an BGP kommt aus diesem Land verstärkt vor und natürlich haben die Überwacher dies nicht mitbekommen. Soll ich mich nun hinstellen und wirklich das ganze Land abwatschen? Natürlich kann ich noch Seiten aus diesem Land abrufen und die Daten kommen auch bei mir an, wer sich mit iptables auskennt weiss wie. Nur im Grunde müsste ich dies doch mit allen Ländern machen, ich bekomme ja auch Angriffe aus dem SubNet meines ISP, anderen ISPs in Deutschland, aus Europa, aus Nordamerika etc etc etc.
Wo ist denn da genau Seraphyns Problem, er filtert mit GeoIP einfach nur vor, aber er hat ein freies Netz, ist doch eine tolle Erweiterung seiner heissgeliebten Firewall?
Eigentlich ist jeder Verkehr, welcher nicht von mir ausgeht und ankommt schon einmal Falsch, außer ich habe ein forwarding. Somit ist GeoIP in dem Punkt obsolet. Ich könnte mir das Mail senden sparen bei Angriffen, nur hilft es mir nicht Securityfehler oder Angriffe aufzudecken. Für mich fängt genau das Problem damit an, dass ich mich hinsetze und ein Land als Security-Enemy einsetze. Mein neuer Klassenfeind wird erschaffen. Im Moment pushen wir in der Realität schon China als neuen "Wir-brauchen-für-den-kalten-Krieg-ähnlichen-Zustand-ein-neues-Russland-Amerika-bla-bla" hoch und viele im Netz nutzen schon GeoIP und blocken gerade mal China und schreiben auch Anleitungen dazu.
Terrorismusparanoia, damn, der Chinese kommt, es ist nicht nur Einer, Millionen, Milliarden,Fantastilliarden… wir werden alle gehaaaaaackt!!!!
So etwas frisst sich für mich schon meiner Meinung nach durch die Fontanelle und wird nett in das Unterbewusstsein geparsed. Ich kann es mir nicht anders erklären, sonst hätte ich die Woche nicht die Frage eines iPhone-Besitzers nach einer Firewall gehabt mit welcher man China blocken kann, weil damit kann man ja surfen.
Ich denke nun versteht man die Überschrift und die Antwort habe ich dazu auch gegeben. Ich werde ein Land nicht komplett rejecten und wehre mich auch gegen einen Schubladenlapsus gegen Länder, Menschen, oder deren Kultur. Ich möchte dies auch nicht mir gegenüber, somit, ich wünsche weiterhin viel Spaß beim Angreifen, nur lasst mir etwas mehr Bandbreite übrig, denn einen QoS für Angriffe ist mir leider, vielleicht noch nicht, möglich.
Vielleicht liege ich ja mit diesem Denken falsch und habe GeoIP nicht wirklich verstanden, doch ich sehe GeoIP in anderen Dingen als ein gutes Werkzeug an, nur in dem Punkt, ich bin von meiner Meinung nicht dafür und lasse mich aber auch gerne eines anderen belehren…
Army und Microsoft
Anti-U.S. Hackers Infiltrate Army Servers
A known computer hacking clan with anti-American leanings has successfully broken into at least two sensitive Web servers maintained by the U.S. Army, InformationWeek has learned exclusively….
Investigators believe the hackers used a technique called SQL injection to exploit a security vulnerability in Microsoft’s SQL Server database to gain entry to the Web servers. „m0sted“ is known to have carried out similar attacks on a number of other Web sites in the past — including against a site maintained by Internet security company Kaspersky Lab.
So ist das, ich schreie nun nicht, dass mit GNU/Linux so etwas nicht passiert, aber, ich kann mich noch genau daran erinnern, dass es zu meiner Windows NT4.0-Administrationszeit zum guten Ton gehörte die Securityempfehlung der Army/NSA/Navy zu vollziehen. Mich wundert dies schon ein bisschen, vor allem welche Server sich da unter den Fingernagel gerissen wurden. Aber Hey, Deutschland setzt auch auf Microsoft im Bunde, ob unsere Steuern damit verpulvert werden, oder auch nicht. Ich vermisse die Zeit, in welcher es nativ war, dass selbst gecodet wurde.
Links: 280509
Pyrit
Pyrit takes a step ahead in attacking WPA-PSK and WPA2-PSK, the protocol that today de-facto protects public WIFI-airspace. The project’s goal is to estimate the real-world security provided by these protocols in a world of affordable Many-Core platforms.
Traurig aber wahr. Bei mir im Hause gibt es aus vielerlei Gründen kein WLAN, dies ist einer der Gründe…
uzbl
uzbl-Brwoser, a keyboard controlled (modal vim-like bindings, or with modifier keys) browser based on Webkit.
Wenn Bedarf besteht baue ich gerne ein Debianpaket, einfach mal in die Kommentare werfen;)
Hands on: Google Chromium browser alpha for LinuxThe open source Chromium project, which serves as the basis for Google’s Chrome web browser, has reached alpha status on the Linux platform. Ars takes a look at the Linux port’s progress and functionality.
Er kann kein FTP, SFTP, webDAV, Flash, wer es braucht… mir gefällt das Design und alles was mit diesem Browser verbunden ist definitiv nicht.
Nessus 4.0.1 released
Tenable Network Security has released version 4.0.1 of the Nessus vulnerability scanner. This point release includes a variety of minor bug fixes as well as support for additional authentication schemes.
Ich mag Nessus…
Gimp FX Foundry: 115 Scripts Ready for Gimp 2.6
There are lots of scripts to the Gimp, which simplifies your image editing. Gimp FX Foundry has merged a whole lot of different scripts to a collection and where you will find the most you will ever need for your image editing.
Schauen wir mal ob es wie damals bei Photoshop reine Scriptdesigner gibt, welche ohne Scripte nicht mehr weiterkommen;)
Modernes Fundbüro
Viele Anwender haben ihre E-Mails bei Webmail-Diensten, die Hochzeitsbilder in Foto-Communities und ihre Lesezeichen bei Social-Bookmarking-Diensten. Doch was passiert, wenn Daten verloren gehen oder Websites schließen? Das Projekt Archiveteam möchte Abhilfe schaffen…. Das noch junge Archiveteam sucht Mitstreiter, die beispielsweise
Artikel und Anleitungen schreiben, Spiegelserver und Bittorrents aufsetzen oder eine Download-Einsatztruppe bilden.
Super Idee, vielleicht kann man damit auch nette Hacks gestalten, ich schaue es mir mal an
Webpenetration mit Samurai LiveCD 0.6
Die Samurai LiveCD ist in der Version 0.6 erschienen und bietet eine Reihe an Werkzeugen um Webdienste auf Ihre Sicherheit zu testen.
Wie man vergessene RAR 7z und Zip Passwörter mit Debian bricht
Da ist dieser Moment, man hat eine uralte RAR/7z/Zip-Datei und man wusste vor ein paar Jahren „natürlich“ das Passwort aus dem FF. Und nun sitzt man da wie ein dummes Lamm und weiß nicht ein, noch aus. Ich kenne das zu Gut, vor allem bin ich nicht der Mensch der PostIts für seine Passwörter nutzt und erst später angefangen hat seine Daten per GPG und/oder encfs zu verschlüsseln. In dem Moment springt rarcrack in die Bresche. Zwar wird es seit dem 26.10.2007 nicht mehr weiterentwickelt, welches uns aber in diesem Fall nicht stören dürfte.
Installation:
root@server:~ aptitude install libxml2-dev build-essential root@server:~ wget root@server:~ tar xvjf rarcrack-0.2.tar.bz2 root@server:~ cd rarcrack-0.2 root@server:~ make && make install install -s rarcrack /usr/bin mkdir -p /usr/share/doc/rarcrack chmod 755 /usr/share/doc/rarcrack install -m 644 -t /usr/share/doc/rarcrack CHANGELOG LICENSE README README.html RELEASE_NOTES root@server:~
Von nun an steht rarcrack zur persönlichen Verfügung.
root@server: rarcrack --help RarCrack! 0.2 by David Zoltan Kedves (kedazo@gmail.com) Usage: rarcrack encrypted_archive.ext [--threads NUM] [--type rar|zip|7z] Options: --help: show this screen. --type: you can specify the archive program, this needed when the program could not detect the proper file type --threads: you can specify how many threads will be run, maximum 12 (default: 2) Info: This program supports only RAR, ZIP and 7Z encrypted archives. RarCrack! usually detects the archive type.
Viel Spaß bei der Datenzurückgenerierung.